[发明专利]一种网络病毒的检测方法

说明书

本发明公开了一种网络病毒的检测方法，涉及网络安全技术领域。包括步骤一：获得病毒特征片段集合；步骤二：完整匹配检测；步骤三：特征码长度检测；步骤四：部分匹配测试和步骤五：重组数据分片检测。本发明通过对数据分片进行完整匹配和部分匹配；将成功部分匹配的数据分片进行重组后再进行完整匹配和部分匹配；通过多重匹配的方式，解决了现有基于病毒特征码的检测方法易导致漏检的问题；同时提高了检测的准确率。

技术领域

本发明属于网络安全技术领域，特别是涉及一种网络病毒的检测方法。

背景技术

现有的P2P网络病毒检测中多采用特征码的的检测方式；此方式相对于其他的检测方式如基于随机扫描或基于流量异常等检测方法具有较多的优势，但基于病毒特征码的检测方法无法适应P2P网络传输的特点；易出现漏检的情况，可靠性较差；同时，检测的准确率较低。

发明内容

本发明的目的在于提供一种网络病毒的检测方法，通过对数据分片进行完整匹配和部分匹配；将成功部分匹配的数据分片进行重组后再进行完整匹配和部分匹配；通过多重匹配的方式，解决了现有基于病毒特征码的检测方法易导致漏检的问题；同时提高了检测的准确率。

为解决上述技术问题，本发明是通过以下技术方案实现的：

本发明为一种网络病毒的检测方法，包括以下步骤：

步骤一：获得病毒特征片段集合；将所有完整的病毒特征码等长分为两段，并将这些病毒特征码片段组成病毒特征片段集合；

步骤二：完整匹配检测；将数据分片与步骤一中的病毒特征码片段进行匹配检测；若数据分片与病毒特征码片完整匹配，则进行步骤三；若不匹配则进行步骤四；

步骤三：特征码长度检测；当被检测出的数据分片中的特征码长度不大于数据分片的长度时，则判定检出病毒；反之则将数据分片进行缓存；

步骤四：部分匹配测试；将数据分片与步骤一中的病毒特征码片段进行匹配检测；若数据分片与病毒特征码片部分匹配失败，则判定此数据分片中无病毒；反之则将此数据分片进行缓存；

步骤五：重组数据分片检测；检测是否存在缓冲数据分片，若有则将步骤三或步骤四中进行缓存的数据分片进行重组后重复步骤二至步骤五，直至数据分片检查完毕。

进一步地，所述步骤一中当一个完整的病毒特征码长度为奇数个字节时，则去除中间一个字节后将前后两段作为病毒特征码片段加入到病毒特征片段集合中。

进一步地，所述步骤二和步骤四中的匹配算法为AC-BM匹配算法。

进一步地，所述步骤五中只将缓存数据分片和与之相连的下一个数据分片进行重组。

本发明具有以下有益效果：

本发明将所有完整的病毒特征码等长分为两段，采用这种方式得到的特征码片段在与数据分片匹配时不会使算法漏掉真实含有病毒的文件数据；同时采用完整匹配和部分匹配的多重匹配方式，有效的提高了对P2P网络病毒检测的准确率和时效性。

当然，实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的一种网络病毒的检测方法的流程示意图。

具体实施方式